Gehackt door de Russen met ouderwetse wardriving

Met de recente onthulling van een spionageoperatie in het centrum van Den Haag herleven oude tijden uit de koude oorlog en de ICT. De zaak maakt snoeihard duidelijk dat het met informatiebeveiliging maar droevig gesteld is.

Toen in de jaren 90 van de vorige eeuw draadloze netwerken in opkomst waren, was het onder hackers een sport om te gaan ‘wardriven’. Met een computer, insteekmodule voor wifi en een antenne reed je door stadscentra. Je kon meeliften op de netwerken van anderen, kijken naar bestanden op computers en bij bedrijven netwerken overnemen. Het was eigenlijk te simpel.

De oude tijden herleven nu blijkt dat de Russische inlichtingendienst GRU precies deze methode gebruikt om her en der in te breken op netwerken van organisaties. Ze gebruiken daarbij de zeer populaire WiFi Pineapple, een kastje dat vaak opduikt bij presentaties over beveiliging om de gevaren van draadloze netwerken te demonstreren.

De zaak maakt duidelijk dat de GRU gevoelige documenten prima via een draadloze verbinding op afstand kan ophalen. Goede beveiliging zou wifiverbindingen anders behandelen dan fysieke verbindingen en er in een aantal gevallen zelfs voor kiezen om documenten in het geheel niet via een netwerk toegankelijk te maken. In al die jaren is er maar weinig verbeterd.

Dankzij onze laksheid kunnen inlichtingendiensten, criminelen en anderen kinderlijk eenvoudig toegang krijgen om documenten te stelen, beschadigen, vernietigen of te plaatsen. Het schokkende ervan is dat het niet meer vereist dan vaak gratis software, goedkope standaardcomputers of een WiFi Pineapple en een beetje knappe antenne. Sterker nog: in de tijden van het wardriven waren we in de hackerscene dol op Pringles-chips. Niet zozeer omdat ze lekker zijn, maar vooral omdat de blikken perfecte richtantennes zijn voor wifi. We krikten er de reikwijdte van netwerken fors mee op van enkele honderden meters tot zelfs enkele kilometers.

Het is nog een geluk dat de Russen vanuit een auto besloten te hacken. Ze hadden ook kunnen kiezen voor de patser-optie: niet alleen parkeren bij het Marriott Hotel, maar er meteen in te checken om vanuit een knappe kamer voorzien van deugdelijk roomservice en een kaartje ‘niet storen’ aan de deur rustig te hacken. Eerst bij het OPCW om vervolgens de doos Pringles een kwart slag te draaien naar het Catshuis toe.

Maar goed, de hackers zaten wel in de auto en werden bovendien gestoord. “Met het onthullen van de werkwijze van de GRU maken we het de GRU moeilijker en vergroten we tegelijkertijd onze eigen weerbaarheid,” zei de Minister van Defensie trots. Ik onderschrijf die boodschap en pleit al langer voor meer openheid over hoe incidenten verlopen. Maar het is ook onze collectieve taak om twintig jaar na het wardriven eindelijk eens de naïviteit van ons af te schudden. Laten we onze beveiligingsmaatregelen nu écht richten op dreigingen die we al ruim twintig jaar in het vizier hebben.

Digitale veiligheid moet aandacht op scholen krijgen

Regelmatig blijken grote hacks een eenvoudig te voorkomen oorzaak te hebben. Het gevolg is dat gevoelige gegevens van de klant, burger of zakelijk partner in foute handen komen. Volgens de Cyber Security Raad schiet de kennis ernstig tekort. Het lesprogramma moet daarom om. Eind oktober bracht ik het verhaal van een USB-stick die door de HEMA uit de handel was genomen. De oorzaak was een reeks beveiligingsproblemen. Zo deugde de software op de stick niet. Ook de clouddienst waar mensen een backup konden achterlaten zat vol fouten.

Het geheel was een tombola van nogal breed bekende programmeer- en configuratiefouten. Wie kwaad in de zin had, kon niet alleen documenten stelen maar ook andere diensten van de leverancier van de clouddienst misbruiken. De HEMA had zelf niet genoeg onderzoek naar hun partner gedaan en stoppen met het product was de enige zinnige optie.

Betere opleiding

Bij het ontwikkelen van software gaat nog altijd veel mis. De Cyber Security Raad, een adviesorgaan van de overheid, constateert dat een oplossing ligt in het beter opleiden van mensen. In een rapport maandag (PDF) pleit zij voor een beter aanbod van lessen. Dat begint wat hen betreft al op heel jonge leeftijd. Zo gaan jongeren bewuster met technologie om.

Ook moeten de vakopleidingen beter zodat beveiliging meer aandacht krijgt. Ook zal er een tekort aan beveiligingsexperts. Om in de toekomst mee te blijven doen in de vaart der volkeren moeten opleidingen anders. Bedrijfsleven en ICT’ers zouden ook een rol moeten krijgen, stelt de Raad.

Tekort

De Cyber Security Raad waarschuwt dat we een tekort aan beveiligingsexperts gaan krijgen. Zelfs als we beveiligingsproblemen te lijf willen gaan dan ontbreekt het binnenkort aan expertise. Volgens het adviesorgaan is de problematiek dan ook urgent.

“Als Nederland niet genoeg investeert in cybersecurity, kunnen bedrijfsleven, overheid en burgers kwetsbaar worden voor onder andere bedrijfsspionage, het stelen van privacygevoelige gegevens, identiteitsfraude, productieverstoring of imagoschade”, waarschuwt de Cyber Security Raad. “De digitale toekomst van Nederland moet veilig worden gesteld. Dat kan door te zorgen voor voldoende cybersecurity professionals en door de Nederlandse jeugd voor te bereiden op de digitale toekomst.”

Verkeerde loket

In totaal zijn er zes aanbevelingen. Ze liggen zo voor de hand dat je zou denken dat het een open deur intrappen is. Maar het probleem is wel dat het rapport veel werk zou betekenen als de adviezen worden opgevolgd. Opleidingen moeten anders en ook docenten moeten worden opgeleid. Werk aan de winkel voor het Ministerie van Onderwijs, Cultuur en Wetenschappen, een departement dat op het digitale dossier niet bepaald uitblinkt.

Maar bij de uitreiking schittert staatssecretaris Sander Dekker door afwezigheid. Zijn collega van Veiligheid en Justitie, Klaas Dijkhoff, neemt het in ontvangst. Dat is het verkeerde loket, want het gaat echt om opleiding. Dat is weinig geruststellend. De digitale samenleving is realiteit. Wat kan urgenter zijn dan volgende generaties daarvoor weerbaar maken?

Technologie: wonderolie voor politici (column)

Als we met één dossier toch goed op weg zijn een probleem te tackelen dan is het wel met de terreurbestrijding. Door een voortvarende aanpak kunnen we rustig slapen, want onze regering waakt over ons.

Voor wie het nog niet weet: iedere terroristische dreiging wordt razendsnel geanalyseerd om vervolgens het juiste stukje technologie te pakken en dat als oplossing in te zetten. Mocht het iemand lukken om met een explosief vieze onderbroek aan boord van een vliegtuig te komen dan is daar binnen een week de oplossing: de bodyscan, beter bekend als de borst- en penisbeoordelaar. Dat is technologie om explosief ondergoed te herkennen op het moment dat de slecht werkende technologie ons eventjes niet beschermd. Lees de column op Webwereld.